Autores
A partir do terceiro trimestre de 2025, ajustamos a metodologia de cálculo estatístico baseada na Kaspersky Security Network (KSN). As modificações impactaram todas as seções do relatório, exceto as estatísticas de pacotes de instalação, que permaneceram inalteradas.
Para refletir a dinâmica entre os períodos, recalculamos os dados do ano anterior; por isso, eles podem divergir significativamente dos números já publicados. Os relatórios seguintes utilizarão esta nova metodologia para possibilitar uma comparação precisa com os dados aqui expostos.
A Kaspersky Security Network (KSN) é uma rede global dedicada à análise de informações anonimizadas sobre ameaças, fornecidas voluntariamente pelos usuários das soluções da Kaspersky. As estatísticas deste relatório baseiam-se nos dados da KSN, a menos que seja indicado o contrário.
Números do ano
Segundo a Kaspersky Security Network, em 2025:
- Foram bloqueados mais de 14 milhões de ataques que utilizavam malware, adware ou software indesejado para dispositivos móveis.
- A ameaça mais comum para dispositivos móveis foi, como de costume, o adware, com 62% do total de ameaças detectadas.
- Foram identificados mais de 815 mil pacotes de instalação maliciosos, dos quais 255 mil eram trojans bancários para dispositivos móveis.
Destaques do ano
Em 2025, os cibercriminosos realizaram uma média mensal de 1,17 milhão de ataques contra dispositivos móveis com software malicioso, publicitário ou indesejado. As soluções da Kaspersky bloquearam um total de 14.059.465 ataques durante o ano.
Número de ataques aos usuários das soluções para dispositivos móveis da Kaspersky em 2025 (download)
Além do malware já mencionado nos relatórios trimestrais anteriores, em 2025 foram identificados outros trojans de grande impacto. Em particular, no quarto trimestre, detectamos o backdoor pré-instalado Keenadu. O malware é injetado no firmware durante o processo de compilação. O código malicioso integra-se à libandroid_runtime.so, biblioteca essencial do ambiente de execução Java no Android. Esta persistência permite que o backdoor se infiltre no espaço de endereçamento de qualquer aplicação ativa no dispositivo. Dependendo do contexto do aplicativo hospedeiro, o malware executa fraude publicitária, ou seja, infla impressões, renderiza banners sob identidade de terceiros ou sequestra consultas de pesquisa. O Keenadu opera com capacidades extensíveis mediante o download dinâmico e atualização remota de módulos maliciosos.
Os pesquisadores de segurança digital também descobriram a botnet IoT Kimwolf, voltada para decodificadores Android TV. Os nós comprometidos podiam lançar ataques DDoS, operar como proxies reversos e facilitar o controle remoto via shell reversa. Análises posteriores confirmaram que os atores das ameaças exploravam a capacidade de proxy reverso da Kimwolf para integrar esses dispositivos em redes de saída residenciais (residential proxies).
Outra descoberta relevante de 2025 foi o trojan espião LunaSpy.
Tela do trojan LunaSpy, que se propaga sob a fachada de um antivírus
Este trojan, camuflado como uma solução antivírus, exfiltra dados de preenchimento automático de navegadores e aplicativos de mensagens, além de interceptar SMS e registros de chamadas. Também conta com capacidade para gravar áudio com o microfone e vídeo com a câmera do dispositivo. Esta ameaça tinha usuários russos como alvo principal.
Estatísticas de ameaças em dispositivos móveis
Em 2025, o volume de novos pacotes de instalação únicos caiu para 815.735, número menor que o do ano anterior. Após uma queda moderada em 2024, este indicador registrou um declínio de quase um terço em 2025.
Número de pacotes de instalação maliciosos e indesejados detectados para Android, 2022–2025 (download)
A redução global nas detecções deve-se principalmente à diminuição de amostras de aplicativos classificados como not-a-virus. Em contrapartida, o volume de trojans teve um crescimento agressivo, conforme detalha a distribuição por tipos.
Distribuição por tipo dos pacotes encontrados
Distribuição* por tipo de programas para dispositivos móveis detectados, 2024 e 2025 (download)
*Os dados do ano anterior podem diferir dos publicados anteriormente devido à revisão retrospectiva de alguns veredictos.
O aumento considerável em aplicativos das categorias Trojan-Banker e Trojan-Spy coincidiu com a redução dos arquivos AdWare e RiskTool.
Os trojans bancários com maior presença foram Mamont (49,8%) e Creduz (22,5%). No âmbito da publicidade intrusiva, destacam-se MobiDash (39%), Adlo (27%) e HiddenAd (20%).
Porcentagem* de usuários atacados por um determinado tipo de malware ou software indesejado, em relação ao total de usuários de produtos para dispositivos móveis da Kaspersky atacados, 2024 e 2025 (download)
*O total pode exceder 100% se os mesmos usuários enfrentarem vários tipos de ataques.
O malware do tipo Trojan-Banker teve um aumento em seus números tanto em volume de arquivos quanto em frequência de ataques. No entanto, ficaram em quarto lugar, superados amplamente pela família Trojan, dominada por variantes de Triada e golpes de Fakemoney.
TOP 20 malware para dispositivos móveis
A seguinte classificação de malware não inclui programas potencialmente perigosos ou indesejados, como RiskTool e AdWare.
| Detecção | %* 2024 | %* 2025 | Diferença em p.p. | Mudança de posição |
| Trojan.AndroidOS.Triada.fe | 0,04 | 9,84 | +9,80 | |
| Trojan.AndroidOS.Triada.gn | 2,94 | 8,14 | +5,21 | +6 |
| Trojan.AndroidOS.Fakemoney.v | 7,46 | 7,97 | +0,51 | +1 |
| DangerousObject.Multi.Generic. | 7,73 | 5,83 | -1,91 | -2 |
| Trojan.AndroidOS.Triada.ii | 0,00 | 5,25 | +5,25 | |
| Trojan-Banker.AndroidOS.Mamont.da | 0,10 | 4,12 | +4,02 | |
| Trojan.AndroidOS.Triada.ga | 10,56 | 3,75 | -6,81 | -6 |
| Trojan-Banker.AndroidOS.Mamont.db | 0,01 | 3,53 | +3,51 | |
| Backdoor.AndroidOS.Triada.z | 0,00 | 2,79 | +2,79 | |
| Trojan-Banker.AndroidOS.Coper.c | 0,81 | 2,54 | +1,72 | +35 |
| Trojan-Clicker.AndroidOS.Agent.bh | 0,34 | 2,48 | +2,14 | +74 |
| Trojan-Dropper.Linux.Agent.gen | 1,82 | 2,37 | +0,55 | +4 |
| Trojan.AndroidOS.Boogr.gsh | 5,41 | 2,06 | -3,35 | -8 |
| DangerousObject.AndroidOS.GenericML | 2,42 | 1,97 | -0,45 | -3 |
| Trojan.AndroidOS.Triada.gs | 3,69 | 1,93 | -1,76 | -9 |
| Trojan-Downloader.AndroidOS.Agent.no | 0,00 | 1,87 | +1,87 | |
| Trojan.AndroidOS.Triada.hf | 0,00 | 1,75 | +1,75 | |
| Trojan-Banker.AndroidOS.Mamont.bc | 1,13 | 1,65 | +0,51 | +8 |
| Trojan.AndroidOS.Generic. | 2,13 | 1,47 | -0,66 | -6 |
| Trojan.AndroidOS.Triada.hy | 0,00 | 1,44 | +1,44 |
*Porcentagem de usuários únicos afetados por este malware em relação ao total de usuários das soluções para dispositivos móveis da Kaspersky que sofreram ataques.
A maior parte da lista é ocupada por trojans da família Triada, distribuídos como modificações maliciosas de aplicativos de mensagens populares. Outra via de contágio é por meio de um convite à vítima para instalar o aplicativo original de mensagens em um “ambiente virtual personalizado”, onde supostamente se pode configurar o funcionamento do aplicativo. Os aplicativos de golpe Fakemoney ficaram em terceiro lugar, pois persistem em ataques frequentes mediante enganações sobre investimento falso e promessas de pagamentos inexistentes. Os trojans bancários Mamont ocuparam as posições 6, 8 e 18. No nono lugar ficou o backdoor Triada, pré-instalado no firmware de certos dispositivos.
Malware por região
Nesta seção, descrevemos malware cujos ataques se concentram em países específicos.
| Detecção | País* | %** |
| Trojan-Banker.AndroidOS.Coper.a | Turquia | 95,74 |
| Trojan-Dropper.AndroidOS.Hqwar.bj | Turquia | 94,96 |
| Trojan.AndroidOS.Thamera.bb | Índia | 94,71 |
| Trojan-Proxy.AndroidOS.Agent.q | Alemanha | 93,70 |
| Trojan-Banker.AndroidOS.Coper.c | Turquia | 93,42 |
| Trojan-Banker.AndroidOS.Rewardsteal.lv | Índia | 92,44 |
| Trojan-Banker.AndroidOS.Rewardsteal.jp | Índia | 92,31 |
| Trojan-Banker.AndroidOS.Rewardsteal.ib | Índia | 91,91 |
| Trojan-Dropper.AndroidOS.Rewardsteal.h | Índia | 91,45 |
| Trojan-Banker.AndroidOS.Rewardsteal.nk | Índia | 90,98 |
| Trojan-Dropper.AndroidOS.Agent.sm | Turquia | 90,34 |
| Trojan-Dropper.AndroidOS.Rewardsteal.ac | Índia | 89,38 |
| Trojan-Banker.AndroidOS.Rewardsteal.oa | Índia | 89,18 |
| Trojan-Banker.AndroidOS.Rewardsteal.ma | Índia | 88,58 |
| Trojan-Spy.AndroidOS.SmForw.ko | Índia | 88,48 |
| Trojan-Dropper.AndroidOS.Pylcasa.c | Brasil | 88,25 |
| Trojan-Dropper.AndroidOS.Hqwar.bf | Turquia | 88,15 |
| Trojan-Banker.AndroidOS.Agent.pp | Índia | 87,85 |
*País com maior atividade do malware
**Porcentagem de usuários únicos afetados por este malware em um determinado país, em relação ao total de usuários das soluções para dispositivos móveis da Kaspersky atacados pelo mesmo malware.
Os usuários da Turquia foram os mais afetados por ataques de trojans bancários Coper e seus droppers Hqwar. Na Índia, persistiu a propagação dos trojans Rewardsteal, projetados para subtrair dados financeiros sob o pretexto de transferências de fundos. Também na Índia, retomou-se a atividade do trojan Thamera, cujos ataques frequentes detectamos em 2023. Este malware registra contas em redes sociais a partir do dispositivo da vítima.
O Trojan-Proxy.AndroidOS.Agent.q, com foco no ecossistema online alemão, foi integrado a um aplicativo de terceiros utilizado para consultar descontos vigentes em uma grande rede de varejo da Alemanha. Os autores das ameaças retiraram fundos das vítimas mediante o uso não autorizado do dispositivo do cliente como ponto de saída de proxy.
Os ataques com trojans Pylcasa, usados para redirecionar usuários para páginas de phishing ou sites de cassinos ilegais, concentraram-se no Brasil em 2025.
Trojans bancários para dispositivos móveis
A quantidade de novos pacotes de instalação de trojans bancários aumentou de forma abrupta e atingiu 255.090 pacotes, número que supera em muito os indicadores de anos anteriores.
Número de pacotes de instalação de trojans bancários para dispositivos móveis detectados pela Kaspersky, 2022-2025 (download)
Cabe destacar que o número total de ataques com trojans bancários também aumentou em 150% em relação ao ano anterior. Considerando o forte aumento nos pacotes de instalação desses malwares, podemos inferir que esses ataques geram grandes benefícios para os autores das ameaças. Isso se confirma porque os cibercriminosos continuam aprimorando os canais de distribuição de malware e criando novas modificações na tentativa de burlar a detecção por parte das soluções de segurança.
TOP 10 trojans bancários para dispositivos móveis
| Detecção | %* 2024 | %* 2025 | Diferença em p.p. | Mudança de posição |
| Trojan-Banker.AndroidOS.Mamont.da | 0,86 | 15,65 | +14,79 | +28 |
| Trojan-Banker.AndroidOS.Mamont.db | 0,12 | 13,41 | +13,29 | |
| Trojan-Banker.AndroidOS.Coper.c | 7,19 | 9,65 | +2,46 | +2 |
| Trojan-Banker.AndroidOS.Mamont.bc | 10,03 | 6,26 | -3,77 | -3 |
| Trojan-Banker.AndroidOS.Mamont.ev | 0,00 | 4,10 | +4,10 | |
| Trojan-Banker.AndroidOS.Coper.a | 9,04 | 4,00 | -5,04 | -4 |
| Trojan-Banker.AndroidOS.Mamont.ek | 0,00 | 3,73 | +3,73 | |
| Trojan-Banker.Andróides.Mamont.cb | 0,64 | 3,04 | +2,40 | +26 |
| Trojan-Banker.AndroidOS.Faketoken.pac | 2,17 | 2,95 | +0,77 | +5 |
| Trojan-Banker.AndroidOS.Mamont.hi | 0,00 | 2,75 | +2,75 |
*Porcentagem de usuários únicos que enfrentaram esse malware em relação ao total de usuários de soluções de segurança para dispositivos móveis Kaspersky atacados por trojans bancários.
Em 2025, os trojans bancários Mamont mostraram uma atividade intensa, representando cerca de metade das novas ameaças dessa categoria e sendo usados em 50% de todos os ataques com trojans bancários.
Conclusão
Em 2025, manteve-se a tendência decrescente no volume total de pacotes únicos de software indesejado. Ao mesmo tempo, registramos um aumento notável na detecção de certas ameaças em relação ao ano anterior, em particular trojans bancários e spyware para dispositivos móveis, embora a maioria das ameaças detectadas continue sendo de aplicativos do tipo adware.
Entre as ameaças para dispositivos móveis, destacamos o aumento de backdoors pré-instalados em firmware, em particular das famílias Triada e Keenadu. Assim como no ano passado, alguns programas maliciosos para dispositivos móveis continuam sendo distribuídos por meio de lojas oficiais de aplicativos. Além disso, evidenciamos um interesse crescente dos autores de ameaças em recrutar dispositivos infectados para utilizá-los como nós de proxy.
Autores
Dos mesmos autores
Na mesma categoria
Vírus de dispositivos móveis 2025